设置 DDoS 策略
更新时间:2025-01-16 10:05:08
分布式拒绝服务(DDoS)攻击是一种恶意行为,攻击者通过控制僵尸网络/代理设备等,向目标网站或服务器发送大量请求或数据,导致正常用户访问网站加载缓慢,甚至完全无法访问。CDNetworks的DDoS防护依托CDN资源优势,结合大数据分析,自主研发防护算法,实时检测和清理各类DDoS攻击,确保网站在遭遇大规模DDoS攻击时仍能稳定在线。
开启DDoS防护后,CDNetworks会自动检测并缓解针对您网站的DDoS攻击。您还可以根据需要调整和优化DDoS防护策略。
1. 设置网络层DDoS 保护
CDNetworks 默认自动检测并缓解 OSI 模型 3/4 层 DDoS 攻击,包括 SYN Flood、ACK Flood、ICMP Flood、UDP Flood、各种反射攻击(如 NTP 反射、Memcache 反射、SSDP 反射)等。为了保护平台基础设施和所有客户的可用性,此保护默认开启,且无法关闭。
2.设置应用层 DDoS保护
应用层DDoS 防护包含托管防护和自适应 DDoS 防护两大防护模块,均由 CDNetworks 自主研发的 DDoS 自适应防护引擎(DAPE)负责,该引擎自动监测网站是否遭受应用层 DDoS 攻击,并根据攻击强度、源站可用性指标等调整托管规则或动态生成自适应防护规则。
应用层 DDoS 保护流程:
- 开启 应用层 DDoS 防护后,当您的网站流量接入云安全平台后,DDoS 自适应防护引擎会立即开始基线学习,为保证基线学习的准确性,一般需要 2-3 小时才能完成。
- DDoS 自适应保护引擎根据业务基线实时监控网站,以检测其是否受到应用层 DDoS 攻击。当检测到攻击时,托管规则将在 CDNetworks 的分布式边缘节点自适应地激活,以阻止大多数攻击流量。可以在此处应用最具成本效益的缓解措施。
- 当托管规则无法完全阻断攻击,源站的可用性仍然受到威胁时,将自动生成精准的自适应防护规则,对源站进行保护。
要配置应用层 DDoS 保护页面:
- 登录CDNetworks控制台,在**“已订阅产品”**下找到正在使用的安全产品。
- 转到安全部分,防护配置>安全策略配置。
- 找到要配置安全策略的主机名,单击
。 - 转到DDoS 保护选项卡。如果应用层 DDoS 保护已关闭,请将其打开。
2.1 选择合适的保护模式
L7 DDoS 防护提供两种防护模式:“自动”和“我正在遭受攻击! ”下表列出了两种防护模式的防护效果和应用场景,您可以根据实际应用场景选择不同的防护模式。如果您不确定,建议先保持默认的“自动”防护模式。
| 保护模式 | 保护效果 | 应用场景 | 托管规则激活逻辑 | 自适应保护规则生成 |
|---|---|---|---|---|
| 自动(推荐) | DDoS 自适应防护引擎监控是否发生 DDoS 攻击,然后相应地执行管理规则,并动态生成自适应防护规则。 | 建议将其作为默认模式,其误报率极低。 | 正常情况下,只有“默认开启”托管规则有效。当 DDoS 自适应保护引擎检测到网站流量异常时,“攻击期间启用”托管规则将自动激活。如果攻击规模影响到缓解节点的基础设施,“基本关闭”托管规则也将自动激活,以保护缓解节点的基础设施。有关安全级别的更多信息,请了解更多。 | DDoS自适应防护引擎自动学习网站业务请求基线,当检测到网站受到攻击且攻击可能影响源站性能时,自动生成防护规则,保护网站业务。 |
| 我受到攻击了! | 与自动模式区别:安全级别“攻击时启用”的托管规则将永久生效,而自适应 DDoS 防护规则将更加严格。 | 它可能会导致一些误报,建议用于经常受到攻击的网站和容量较差的来源。 | “默认开启”和“攻击期间启用”托管规则默认启用。当 DDoS 自适应保护引擎检测到网站流量异常,且攻击规模影响到缓解节点的基础设施时,“基本关闭”托管规则也将自动启用,以保护缓解节点的基础设施。有关安全级别的更多信息,请了解更多。 | DDoS自适应防护引擎自动学习主机名的业务请求基线,当检测到网站受到攻击且攻击可能影响源站性能时,自动生成更严格的防护规则,保护网站业务。 |
2.2 设置托管保护
CDNetworks 安全团队通过持续跟踪最新威胁、总结平台攻击事件处置经验,积累了一套通用的托管防护规则来抵御应用层 DDoS 攻击。这些规则会定期更新,帮助您应对最新的攻击威胁。为确保最佳防护效果,建议您默认开启托管防护功能。
2.2.1. 调整动作或安全等级
托管规则由CDNetworks统一管理和推送,您可以调整托管规则的动作和安全级别,通常建议您保留托管规则的默认动作和安全级别。
如果托管规则出现误报,您可以通过降低规则的安全级别来解决,例如将“攻击时启用”改为“基本关闭”。您也可以根据实际防护需求进行调整。
有关操作和安全级别的更多信息,请了解更多。
2.2.2. 添加应用程序/API 例外
带有“ DDoS 托管挑战”操作的托管规则会根据请求特征进行 Cookie 挑战或 JavaScript 挑战,仅适用于 Web/H5 网页类型网站。如果您的网站是原生 App/混合 App/回调 API 或其他业务,需要针对 App/API 的请求特征进行例外处理,避免造成大量误报。
| 类型 | 描述 | 需要添加例外吗? | 笔记 |
|---|---|---|---|
| 原生应用 | 使用Android和iOS平台官方的开发语言、开发库和工具进行开发。例如Android的Java语言,iOS的object-c语言。 | 一般情况下不需要例外。 | 操作为“DDoS Managed Challenge”的托管规则只对浏览器的User-Agent(Mozilla或Opera)有效,如果你是原生应用,使用浏览器的User-Agent,则需要添加例外。 |
| 混合应用 | 它采用了原生APP的开发技术,同时也应用了HTML5的开发技术,是一款原生与HTML5技术的混合应用。 | 需要例外。 | 需要根据您的混合APP的特点来做例外处理,当原生页面请求和HTML5页面请求的特点明显不同时,建议只针对原生页面请求的特点做例外处理,例如User-Agent=AppName/1.0.0(Android; 10; Pixel 3)okhttp/3.8.1。 |
| 回调API | 当某一事件发生时,系统自动调用已注册的回调函数来处理相关数据。如支付回调API、数据同步回调API等。 | 需要例外。 | 应根据回调 API 的特性来制定例外情况,例如 URI=/api/callback。 |
| 其他程序API | 其他不支持“DDoS Managed Challenge”的程序API。 | 需要例外。 | 应该根据你的程序API的特点来做出例外,例如URI=/api/other。 |
具体配置方法参考:设置App/API例外
配置的 App/API 例外仅适用于具有“DDoS 托管挑战”操作的托管规则。
2.3 设置自适应保护(增值服务)
自适应防护基于CDNetworks的大数据能力,通过不断学习网站业务请求基线,结合CDNetworks自主研发的算法识别异常攻击请求,当检测到攻击可能威胁源站业务时,DDoS自适应防护引擎(DAPE)会自动生成自适应防护规则,缓解应用层DDoS攻击。
自适应保护规则的生成和失效过程:
- DDoS自适应防护引擎根据业务基线实时监测网站是否遭受应用层DDoS攻击,当托管规则无法完全阻断攻击,源站可用性仍受到威胁时,将自动生成精准的自适应防护规则。
- 如果您已经将网站的防护模式设置为“我受到攻击了!”,DDoS自适应防护引擎将生成更为严格的自适应防护规则,最大程度地缓解应用层DDoS攻击。
- 攻击停止 15 分钟后,自适应保护规则将自动过期并被清除。
2.3.1. 调整规则操作
自适应防护规则动作是针对所有生成的自适应防护规则的动作集合,共有“拒绝”和“记录”两种动作。通常建议您保留默认规则动作为“拒绝”,以保证最佳的防护效果。您也可以先将其配置为“记录”,攻击发生时仍会正常生成攻击规则,但只会记录攻击日志,不会拒绝请求。
2.3.2. 查看自适应保护规则
DDoS自适应防护引擎(DAPE)根据攻击的威胁程度判断何时生成或删除防护规则,自动处理攻击,一般情况下无需您特别关注。
如果您希望查看自适应保护规则,通常有两种方式:
1. 查看攻击期间当前活动的规则
如果您意识到有攻击发生,您可以直接在安全策略>DDoS防护页面查看当前是否有生成自适应防护规则,规则以“L7DDoS_AI”为前缀。
2. 攻击停止后,通过攻击日志进行回顾
如果您希望在攻击结束后,回溯攻击事件及防护情况,您可以进入分析&日志>攻击日志页面查询攻击时间段内是否有自适应防护规则阻断日志,在展开的日志详情中可以查看详细的规则信息。
由于攻击者经常通过不断变换攻击特征放行防护,为了降低无攻击时误报的风险,自适应防护规则被设计为仅在攻击时生成,并在攻击停止 15 分钟后删除。如果您分析出一条历史防护规则可以有效防御多次攻击,误报风险极低,则可以手动将规则配置为自定义规则或频率限制,以持续保护网站。